Let's Encrypt ist eine kostenlose, automatisierte und offene Zertifizierungsstelle (CA), welche offiziell dem Nutzen der Öffentlichkeit dienen soll. Let's Encrypt ist ein Service der von der Internet Security Research Group (ISRG) zur Verfügung gestellt wird.

Let's Encrypt bietet öffentlich, jederman digitalen Zertifikate an, um HTTPS (SSL / TLS) Verschlüsselung für Websites zu ermöglichen. Dies wird kostenlos und in einer möglichst benutzerfreundlichen Art und Weise angeboten. Let's Encrypt tut dies, weil Let's Encrypt offiziell ein sichereres und die Privatsphäre respektierendes Internet fördern möchte.

Weitere Informationen zum Einsatz von TLSA in Verwendung mit Let's Encrypt-Zertifikaten sind unter nachfolgendem externen Link verfügbar:

• https://community.letsencrypt.org/t/please-avoid-3-0-1-and-3-0-2-dane-tlsa-records-with-le-certificates/7022

Der TLSA-Record ist wie folgt aufgebaut:

_[Port]._[Protokoll].[SUBDOMAIN].[DOMAIN].[TLD] [TTL] IN TLSA (DATEN = [Zahl] [Zahl] [Zahl] [HASH])

Für einen Standard SMTP Server wäre das z.B. das der Port 25 und das TCP Protokoll. Im Feld Record wird daher folgendes eingegeben: _25._tcp

Wenn das Zertifikat für einen Host einer Subdomain gültig ist muss der Record z.B. für die bekannte mx Subdomain wie folgt aussehen: _25._tcp.mx

Das Daten Feld enthält 4 Informationen getrennt von Leerzeichen und optional von einer Klammer umschlossen:

([Zahl] [Zahl] [Zahl] [HASH])

Die erste Zahl ist ein Wert von 0 bis 3:

• 0: Der Hash gehört der Zertifizierungsstelle die Zertifikate für diesen Host ausstellen darf. Der Client muss die Zertifizierungsstelle kennen oder diese muss von einer vertrauten Zertifizierungsstelle unterschrieben sein.
• 1: Der Hash gehört dem Serverzertifikat. Es muss von einer Zertifizierungsstelle unterschrieben sein der vom Client vertraut wird.
• 2: Der Hash gehört einer Zertifizierungsstelle die Zertifikate für diesen Host ausstellen darf. Der Client soll Ihr Vertrauen auch wenn sie ihm Unbekannt und von keiner bekannten Zertifizierungsstelle unterschrieben ist.
• 3: Der Hash gehört dem Serverzertifikat und der Client soll diesem ohne weitere Prüfung der Vertrauenskette trauen.

Die Zweite Zahl kann 0 oder 1 sein und gibt an wie der Hash überprüft wird:

• 0: Es wird ein Hash vom kompletten Zertifikat erstellt.
• 1: Es wird nur ein Hash vom Public Key und des Algorithmus erstellt.

Die Dritte Zahl enthält einen wert von 0 bis 2:

• 0: Der Hash enthält das komplette Zertifikat (nicht empfohlen).
• 1: Der Hash enthält einen SHA-256 Hash.
• 2: Der Hash enthält einen SHA-512 Hash.

Nachfolgende Anleitung aus dem internen Link, zeigt wie Zertifikate generell durch die Verwendung von Let's Encrypt erstellt werden und muss zwingend bereits erfolgreich durchgeführt worden sein !!!

• Let's Encrypt

HINWEIS - Ein aktuell generiertes Zertifikat muss bereits vorhanden sein !!!

Nachfolgend wird in dieser Anleitung davon ausgegangen, dass ein

• Let's Encrypt-Zertifikat

in nachfolgendem Verzeichnis liegt:

• /opt/dehydrated-master/certs/[DOMAIN]

bzw. eigene Let's Encrypt-Zertifikats-Generierung für den MTA-Postfix unter:

• /opt/dehydrated-master-postfix/certs/[DOMAIN]

* [DOMAIN] steht hier für den Verzeichnisnamen z.B. mx1.tachtler.net

Nachfolgend sollen zwei TLSA-Records erstellt werden. Der Grund dafür liegt in der Erneuerung des eigentlichen Let's Encrypt-Zertifikats, welche nach aktuellem Stand nur Zertifikate für 90 Tage ausstellt. Dies würde es erforderlich machen, auch den TLSA-Record alle 90 Tage zu erneuern.

HINWEIS - Eine Erneuerung alle 90 Tage ist bei entsprechender Gestaltung des TLSA-Records NICHT erforderlich!

Siehe auch den externen Link: https://community.letsencrypt.org/t/please-avoid-3-0-1-and-3-0-2-dane-tlsa-records-with-le-certificates/7022

Bei der Verwendung von Let's Encrypt-Zertifikaten mit 90-tägigem Ablaufdatum ist darauf zu achten, dass

• keine „3 0 1“ und keine „3 0 2“ DANE TLSA-Datensätze veröffentlicht werden.

Die Erneuerung von Let's Encrypt-Zertifikaten führt zu einem neuen Zertifikats-Digest (Fingerprint) und macht die TLSA-Datensätze ungültig.

Stattdessen sollten

• „3 1 1“- oder „2 1 1“-Datensätze

wie im folgenden Abschnitt erläutert veröffentlicht werden.

Bei „3 1 1“-Datensätzen müssen Sie sicherstellen, dass die Erneuerung von Let's Encrypt-Zertifikaten kein neues Paar aus privatem und öffentlichem Schlüssel erzeugt, sondern dass bei künftigen Aktualisierungen des Zertifikats dasselbe Paar aus öffentlichem Schlüssel verwendet wird.

Damit nun, wenn einmal die Erstellung eines neuen Zertifikats nicht rechtzeitig erfolgt, eine Art „Fallback“-Szenario existiert, soll auch ein TLSA-Record für das Root-Zertifikat der Let's Encrypt CA zusätzlich erstellt werden.

Durch die Erstellung eines TLSA-Records für das Root-Zertifikat der Let's Encrypt CA ist dies eben das „Fallback“-Szenario. Das bedeutet, dass so lange bis das eigentliche Let's Encrypt-Zertifikat erneuert wurde, weiterhin der TLSA-Record der Let's Encrypt-CA (Root-Zertifikat) gültig ist und zur Validierung verwendet werden kann.

WICHTIG - Sollte sich jedoch das Let's Encrypt-Root-Zertifikat „Let’s Encrypt Authority X3“ Zertifikat einmal ändern, muss auch dieser TLSA-Record erneuert werden!

Nachfolgend soll auf Basis des TLSAGEN-Script der [*] sys4 AG der FINGERPRINT des eigentlichen Let's Encrypt-Zertifikats erstellt werden.

Dazu soll der FINGERPRINT des eigentlichen Let's Encrypt-Zertifikats, welches hier im Verzeichnis

• /opt/dehydrated-master-postfix/certs/mx1.tachtler.net/

liegt, verwendet werden.

Nachfolgender Aufruf des einzeiligen Befehls sollte nachfolgende Ausgabe erzeugen:

# printf '_25._tcp.%s. IN TLSA 3 1 1 %s\n' mx1.tachtler.net $(openssl x509 -in /opt/dehydrated-master-postfix/certs/mx1.tachtler.net/cert.pem -noout -pubkey | openssl pkey -pubin -outform DER | openssl dgst -sha256 -binary | hexdump -ve '/1 "%02x"')
_25._tcp.mx1.tachtler.net. IN TLSA 3 1 1 e9bc354eaffcf2751f847a22fd6d021cb94a9a015e1d64f76673e41f9f0b8f88

Parameter für den Aufruf:

1. Die DANE-EE(3) Zertifikats-Nutzung muss entsprechend gesetzt sein, hier verwendet:
   3 1 1
2. Die Domäne muss entsprechend angepasst werden, hier verwendet:
   mx1.tachtler.net
3. Der Speicherort und der Dateiname des Zertifikats muss entsprechend angepasst werden. hier verwendet:
   /opt/dehydrated-master-postfix/certs/mx1.tachtler.net/cert.pem

Das Ergebnis ist der fertige TLSA-Record:

_25._tcp.mx1.tachtler.net. IN TLSA 3 1 1 e9bc354eaffcf2751f847a22fd6d021cb94a9a015e1d64f76673e41f9f0b8f88

Bevor mit der Erstellung des TLSA-Records aus dem Let's Encrypt-Root-Zertifikat der Let's Encrypt-CA begonnen werden soll, muss dieses erst einmal heruntergeladen werden, was mit nachfolgendem Befehl durchgeführt werden kann:

HINWEIS - Nachfolgende Links/URLs sind zum Zeitpunkt der Erstellung dieses Eintrags aktuell gewesen:

• https://letsencrypt.org/certificates/

bis 06.10.2021

• https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem.txt (RSA)
• https://letsencrypt.org/certs/lets-encrypt-x4-cross-signed.pem.txt (RSA)

ab 30.09.2020

• https://letsencrypt.org/certs/lets-encrypt-r3-cross-signed.pem.txt (RSA)
• https://letsencrypt.org/certs/lets-encrypt-r4-cross-signed.pem.txt (RSA)
• https://letsencrypt.org/certs/lets-encrypt-e1.pem (ECDSA)
• https://letsencrypt.org/certs/lets-encrypt-e2.pem (ECDSA)

* Danke für den Hinweis an Björn Jacke

# wget -P /tmp https://letsencrypt.org/certs/lets-encrypt-r3-cross-signed.pem.txt
--2020-10-03 16:31:13--  https://letsencrypt.org/certs/lets-encrypt-r3-cross-signed.pem.txt
Resolving letsencrypt.org (letsencrypt.org)... 68.183.215.91, 157.230.103.136, 2a03:b0c0:3:e0::27e:2001, ...
Connecting to letsencrypt.org (letsencrypt.org)|68.183.215.91|:443... connected.
HTTP request sent, awaiting response... 200 OK
Length: 1541 (1,5K) [text/plain]
Saving to: ‘/tmp/lets-encrypt-r3-cross-signed.pem.txt’

lets-encrypt-r3-cro 100%[===================>]   1,50K  --.-KB/s    in 0s      

2020-10-03 16:31:14 (206 MB/s) - ‘/tmp/lets-encrypt-r3-cross-signed.pem.txt’ saved [1541/1541]

# wget -P /tmp https://letsencrypt.org/certs/lets-encrypt-r4-cross-signed.pem.txt
--2020-10-03 17:20:14--  https://letsencrypt.org/certs/lets-encrypt-r4-cross-signed.pem.txt
Resolving letsencrypt.org (letsencrypt.org)... 167.99.137.12, 134.209.226.211, 2a03:b0c0:3:d0::d19:7001, ...
Connecting to letsencrypt.org (letsencrypt.org)|167.99.137.12|:443... connected.
HTTP request sent, awaiting response... 200 OK
Length: 1541 (1,5K) [text/plain]
Saving to: ‘/tmp/lets-encrypt-r4-cross-signed.pem.txt’

lets-encrypt-r4-cro 100%[===================>]   1,50K  --.-KB/s    in 0s      

2020-10-03 17:20:15 (197 MB/s) - ‘/tmp/lets-encrypt-r4-cross-signed.pem.txt’ saved [1541/1541]

# wget -P /tmp https://letsencrypt.org/certs/lets-encrypt-e1.pem
--2020-10-03 17:20:39--  https://letsencrypt.org/certs/lets-encrypt-e1.pem
Resolving letsencrypt.org (letsencrypt.org)... 157.230.103.136, 134.209.226.211, 2a03:b0c0:3:e0::2b7:f001, ...
Connecting to letsencrypt.org (letsencrypt.org)|157.230.103.136|:443... connected.
HTTP request sent, awaiting response... 200 OK
Length: 1021 [application/x-pem-file]
Saving to: ‘/tmp/lets-encrypt-e1.pem’

lets-encrypt-e1.pem 100%[===================>]    1021  --.-KB/s    in 0s      

2020-10-03 17:20:39 (129 MB/s) - ‘/tmp/lets-encrypt-e1.pem’ saved [1021/1021]

# wget -P /tmp https://letsencrypt.org/certs/lets-encrypt-e2.pem
--2020-10-03 17:20:56--  https://letsencrypt.org/certs/lets-encrypt-e2.pem
Resolving letsencrypt.org (letsencrypt.org)... 68.183.215.91, 165.22.65.139, 2a03:b0c0:3:e0::26f:c001, ...
Connecting to letsencrypt.org (letsencrypt.org)|68.183.215.91|:443... connected.
HTTP request sent, awaiting response... 200 OK
Length: 1021 [application/x-pem-file]
Saving to: ‘/tmp/lets-encrypt-e2.pem’

lets-encrypt-e2.pem 100%[===================>]    1021  --.-KB/s    in 0s      

2020-10-03 17:20:57 (149 MB/s) - ‘/tmp/lets-encrypt-e2.pem’ saved [1021/1021]

Ob das Herunterladen auch durchgeführt wurde, kann mit nachfolgendem Befehl überprüft werden:

ls -la /tmp/lets-encrypt*
-rw-rw-r--. 1 klaus klaus 1021  3. Okt 17:20 /tmp/lets-encrypt-e1.pem
-rw-rw-r--. 1 klaus klaus 1021  3. Okt 17:20 /tmp/lets-encrypt-e2.pem
-rw-rw-r--. 1 klaus klaus 1541  3. Okt 17:20 /tmp/lets-encrypt-r3-cross-signed.pem.txt
-rw-rw-r--. 1 klaus klaus 1541  3. Okt 17:20 /tmp/lets-encrypt-r4-cross-signed.pem.txt

Nachfolgend soll auf Basis des TLSAGEN-Script der [*] sys4 AG der FINGERPRINT des Let's Encrypt-Root–Zertifikats aus der Let's Encrypt-CA erstellt werden.

Jetzt kann der FINGERPRINT des Let's Encrypt-Root–Zertifikats aus der Let's Encrypt-CA, welches hier im Verzeichnis

• /tmp/

liegt, verwendet werden.

Nachfolgender Aufruf des einzeiligen Befehls sollte nachfolgende Ausgabe erzeugen:

# printf '_25._tcp.%s. IN TLSA 2 1 1 %s\n' mx1.tachtler.net $(openssl x509 -in /tmp/lets-encrypt-r3-cross-signed.pem.txt -noout -pubkey | openssl pkey -pubin -outform DER | openssl dgst -sha256 -binary | hexdump -ve '/1 "%02x"')
_25._tcp.mx1.tachtler.net. IN TLSA 2 1 1 8d02536c887482bc34ff54e41d2ba659bf85b341a0a20afadb5813dcfbcf286d

# printf '_25._tcp.%s. IN TLSA 2 1 1 %s\n' mx1.tachtler.net $(openssl x509 -in /tmp/lets-encrypt-r4-cross-signed.pem.txt -noout -pubkey | openssl pkey -pubin -outform DER | openssl dgst -sha256 -binary | hexdump -ve '/1 "%02x"')
_25._tcp.mx1.tachtler.net. IN TLSA 2 1 1 e5545e211347241891c554a03934cde9b749664a59d26d615fe58f77990f2d03

Parameter für den Aufruf:

1. Die DANE-TA(2) Zertifikats-Nutzung muss entsprechend gesetzt sein, hier verwendet:
   2 1 1
2. Die Domäne muss entsprechend angepasst werden, hier verwendet:
   mx1.tachtler.net
3. Der Speicherort und der Dateiname des Zertifikats muss entsprechend angepasst werden. Hier verwendet:
   
   • /tmp/lets-encrypt-r3-cross-signed.pem.txt
   • /tmp/lets-encrypt-r4-cross-signed.pem.txt

Das Ergebnis ist der fertige TLSA-Record:

_25._tcp.mx1.tachtler.net. IN TLSA 2 1 1 8d02536c887482bc34ff54e41d2ba659bf85b341a0a20afadb5813dcfbcf286d
_25._tcp.mx1.tachtler.net. IN TLSA 2 1 1 e5545e211347241891c554a03934cde9b749664a59d26d615fe58f77990f2d03

Nachfolgend wird dargestellt, wie die DNS-Records entsprechend im jeweiligen DNS-Server hinterlegt werden können:

_25._tcp.mx1.tachtler.net. 600  IN  TLSA  3 1 1 e9bc354eaffcf2751f847a22fd6d021cb94a9a015e1d64f76673e41f9f0b8f88
_25._tcp.mx1.tachtler.net. 600  IN  TLSA  2 1 1 8d02536c887482bc34ff54e41d2ba659bf85b341a0a20afadb5813dcfbcf286d
_25._tcp.mx1.tachtler.net. 600  IN  TLSA  2 1 1 e5545e211347241891c554a03934cde9b749664a59d26d615fe58f77990f2d03

Ein Abfrage, mittels des Befehls dig, sollte dann wie nachfolgend dargestellt aussehen:

# dig _25._tcp.mx1.tachtler.net IN TLSA

; <<>> DiG 9.9.4-RedHat-9.9.4-61.el7 <<>> _25._tcp.mx1.tachtler.net IN TLSA
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 32428
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 1, ADDITIONAL: 2

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;_25._tcp.mx1.tachtler.net.     IN TLSA

;; ANSWER SECTION:
_25._tcp.mx1.tachtler.net. 600  IN TLSA 3 1 1 E9BC354EAFFCF2751F847A22FD6D021CB94A9A015E1D64F76673E41F 9F0B8F88
_25._tcp.mx1.tachtler.net. 600  IN TLSA 2 1 1 8D02536V887482BC34ff54E41D2BA659BF85B341A0A20AFADB5813DC FBCF286D
_25._tcp.mx1.tachtler.net. 600  IN TLSA 2 1 1 E5545E211347241891C554A03934CDE9B749664A59D26D615FE58F77 990F2D03

;; AUTHORITY SECTION:
tachtler.net.            10800  IN NS   ns1.tachtler.net.

;; ADDITIONAL SECTION:
ns1.tachtler.net.        10800  IN A    192.168.0.20

;; Query time: 0 msec
;; SERVER: 192.168.0.20#53(192.168.0.20)
;; WHEN: Sat Oct 03 16:31:19 CEST 2020
;; MSG SIZE  rcvd: 187

Zur Überprüfung, ob die TLSA-Records auch korrekt gesetzt sind und auch zum jeweiligen, hier MTA passen, kann nachfolgender externer Link der [*] sys4 AG verwendet werden:

• https://dane.sys4.de/

oder

• https://de.ssl-tools.net/mailservers

oder

• https://www.huque.com/bin/danecheck

* Bildschirmkopie nur unter Verwendung des lets-encrypt-x3-cross-signed.pem.txt Zertifikats

Nachfolgend sollen zwei TLSA-Records erstellt werden. Der Grund dafür liegt in der Erneuerung des eigentlichen Let's Encrypt-Zertifikats, welche nach aktuellem Stand nur Zertifikate für 90 Tage ausstellt. Dies macht es erforderlich, auch den TLSA-Record alle 90 Tage zu erneuern.

Damit nun, wenn einmal die Erstellung eines neuen Zertifikats nicht rechtzeitig erfolgt, eine Art „Fallback“-Szenario existiert, soll auch ein TLSA-Record für das Root-Zertifikat der Let's Encrypt CA zusätzlich erstellt werden.

Durch die Erstellung eines TLSA-Records für das Root-Zertifikat der Let's Encrypt CA ist dies eben das „Fallback“-Szenario. Das bedeutet, dass so lange bis das eigentliche Let's Encrypt-Zertifikat erneuert wurde, weiterhin der TLSA-Record der Let's Encrypt-CA (Root-Zertifikat) gültig ist und zur Validierung verwendet werden kann.

WICHTIG - Sollte sich jedoch das Let's Encrypt-Root-Zertifikat „Let’s Encrypt Authority X3“ Zertifikat einmal ändern, muss auch dieser TLSA-Record erneuert werden!

Nachfolgend soll auf Basis des TLSAGEN-Script der [*] sys4 AG der FINGERPRINT des eigentlichen Let's Encrypt-Zertifikats erstellt werden.

Dazu soll der FINGERPRINT des eigentlichen Let's Encrypt-Zertifikats, welches hier im Verzeichnis

• /opt/dehydrated-master-dovecot/certs/imap.tachtler.net/

liegt, verwendet werden.

Nachfolgender Aufruf des einzeiligen Befehls sollte nachfolgende Ausgabe erzeugen:

# printf '_993._tcp.%s. IN TLSA 3 1 1 %s\n' imap.tachtler.net $(openssl x509 -in /opt/dehydrated-master-dovecot/certs/imap.tachtler.net/cert.pem -noout -pubkey | openssl pkey -pubin -outform DER | openssl dgst -sha256 -binary | hexdump -ve '/1 "%02x"')
_993._tcp.imap.tachtler.net. IN TLSA 3 1 1 2192f81a9bcc98e86158a261470a83c6cbbd878ebf47993696ab5d30df13789f

und

# printf '_143._tcp.%s. IN TLSA 3 1 1 %s\n' imap.tachtler.net $(openssl x509 -in /opt/dehydrated-master-dovecot/certs/imap.tachtler.net/cert.pem -noout -pubkey | openssl pkey -pubin -outform DER | openssl dgst -sha256 -binary | hexdump -ve '/1 "%02x"')
_143._tcp.imap.tachtler.net. IN TLSA 3 1 1 2192f81a9bcc98e86158a261470a83c6cbbd878ebf47993696ab5d30df13789f

Parameter für den Aufruf:

1. Die DANE-EE(3) Zertifikats-Nutzung muss entsprechend gesetzt sein, hier verwendet:
   3 1 1
2. Die Domäne muss entsprechend angepasst werden, hier verwendet:
   imap.tachtler.net
3. Der Speicherort und der Dateiname des Zertifikats muss entsprechend angepasst werden. hier verwendet:
   /opt/dehydrated-master-dovecot/certs/imap.tachtler.net/cert.pem

Das Ergebnis sind die fertigen TLSA-Records:

_143._tcp.imap.tachtler.net. IN TLSA 3 1 1 2192f81a9bcc98e86158a261470a83c6cbbd878ebf47993696ab5d30df13789f
_993._tcp.imap.tachtler.net. IN TLSA 3 1 1 2192f81a9bcc98e86158a261470a83c6cbbd878ebf47993696ab5d30df13789f

Bevor mit der Erstellung des TLSA-Records aus dem Let's Encrypt-Root-Zertifikat der Let's Encrypt-CA begonnen werden soll, muss dieses erst einmal heruntergeladen werden, was mit nachfolgendem Befehl durchgeführt werden kann:

HINWEIS - Nachfolgende Links/URLs sind zum Zeitpunkt der Erstellung dieses Eintrags aktuell gewesen:

• https://letsencrypt.org/certificates/

bis 06.10.2021

• https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem.txt (RSA)
• https://letsencrypt.org/certs/lets-encrypt-x4-cross-signed.pem.txt (RSA)

ab 30.09.2020

• https://letsencrypt.org/certs/lets-encrypt-r3-cross-signed.pem.txt (RSA)
• https://letsencrypt.org/certs/lets-encrypt-r4-cross-signed.pem.txt (RSA)
• https://letsencrypt.org/certs/lets-encrypt-e1.pem (ECDSA)
• https://letsencrypt.org/certs/lets-encrypt-e2.pem (ECDSA)

* Danke für den Hinweis an Björn Jacke

# wget -P /tmp https://letsencrypt.org/certs/lets-encrypt-r3-cross-signed.pem.txt
--2020-10-03 16:31:13--  https://letsencrypt.org/certs/lets-encrypt-r3-cross-signed.pem.txt
Resolving letsencrypt.org (letsencrypt.org)... 68.183.215.91, 157.230.103.136, 2a03:b0c0:3:e0::27e:2001, ...
Connecting to letsencrypt.org (letsencrypt.org)|68.183.215.91|:443... connected.
HTTP request sent, awaiting response... 200 OK
Length: 1541 (1,5K) [text/plain]
Saving to: ‘/tmp/lets-encrypt-r3-cross-signed.pem.txt’

lets-encrypt-r3-cro 100%[===================>]   1,50K  --.-KB/s    in 0s      

2020-10-03 16:31:14 (206 MB/s) - ‘/tmp/lets-encrypt-r3-cross-signed.pem.txt’ saved [1541/1541]

# wget -P /tmp https://letsencrypt.org/certs/lets-encrypt-r4-cross-signed.pem.txt
--2020-10-03 17:20:14--  https://letsencrypt.org/certs/lets-encrypt-r4-cross-signed.pem.txt
Resolving letsencrypt.org (letsencrypt.org)... 167.99.137.12, 134.209.226.211, 2a03:b0c0:3:d0::d19:7001, ...
Connecting to letsencrypt.org (letsencrypt.org)|167.99.137.12|:443... connected.
HTTP request sent, awaiting response... 200 OK
Length: 1541 (1,5K) [text/plain]
Saving to: ‘/tmp/lets-encrypt-r4-cross-signed.pem.txt’

lets-encrypt-r4-cro 100%[===================>]   1,50K  --.-KB/s    in 0s      

2020-10-03 17:20:15 (197 MB/s) - ‘/tmp/lets-encrypt-r4-cross-signed.pem.txt’ saved [1541/1541]

# wget -P /tmp https://letsencrypt.org/certs/lets-encrypt-e1.pem
--2020-10-03 17:20:39--  https://letsencrypt.org/certs/lets-encrypt-e1.pem
Resolving letsencrypt.org (letsencrypt.org)... 157.230.103.136, 134.209.226.211, 2a03:b0c0:3:e0::2b7:f001, ...
Connecting to letsencrypt.org (letsencrypt.org)|157.230.103.136|:443... connected.
HTTP request sent, awaiting response... 200 OK
Length: 1021 [application/x-pem-file]
Saving to: ‘/tmp/lets-encrypt-e1.pem’

lets-encrypt-e1.pem 100%[===================>]    1021  --.-KB/s    in 0s      

2020-10-03 17:20:39 (129 MB/s) - ‘/tmp/lets-encrypt-e1.pem’ saved [1021/1021]

# wget -P /tmp https://letsencrypt.org/certs/lets-encrypt-e2.pem
--2020-10-03 17:20:56--  https://letsencrypt.org/certs/lets-encrypt-e2.pem
Resolving letsencrypt.org (letsencrypt.org)... 68.183.215.91, 165.22.65.139, 2a03:b0c0:3:e0::26f:c001, ...
Connecting to letsencrypt.org (letsencrypt.org)|68.183.215.91|:443... connected.
HTTP request sent, awaiting response... 200 OK
Length: 1021 [application/x-pem-file]
Saving to: ‘/tmp/lets-encrypt-e2.pem’

lets-encrypt-e2.pem 100%[===================>]    1021  --.-KB/s    in 0s      

2020-10-03 17:20:57 (149 MB/s) - ‘/tmp/lets-encrypt-e2.pem’ saved [1021/1021]

Ob das Herunterladen auch durchgeführt wurde, kann mit nachfolgendem Befehl überprüft werden:

ls -la /tmp/lets-encrypt*
-rw-rw-r--. 1 klaus klaus 1021  3. Okt 17:20 /tmp/lets-encrypt-e1.pem
-rw-rw-r--. 1 klaus klaus 1021  3. Okt 17:20 /tmp/lets-encrypt-e2.pem
-rw-rw-r--. 1 klaus klaus 1541  3. Okt 17:20 /tmp/lets-encrypt-r3-cross-signed.pem.txt
-rw-rw-r--. 1 klaus klaus 1541  3. Okt 17:20 /tmp/lets-encrypt-r4-cross-signed.pem.txt

Nachfolgend soll auf Basis des TLSAGEN-Script der [*] sys4 AG der FINGERPRINT des Let's Encrypt-Root–Zertifikats aus der Let's Encrypt-CA erstellt werden.

Jetzt kann der FINGERPRINT des Let's Encrypt-Root–Zertifikats aus der Let's Encrypt-CA, welches hier im Verzeichnis

• /tmp/

liegt, verwendet werden.

Nachfolgender Aufruf des einzeiligen Befehls sollte nachfolgende Ausgabe erzeugen:

# printf '_993._tcp.%s. IN TLSA 2 1 1 %s\n' imap.tachtler.net $(openssl x509 -in /tmp/lets-encrypt-r3-cross-signed.pem.txt -noout -pubkey | openssl pkey -pubin -outform DER | openssl dgst -sha256 -binary | hexdump -ve '/1 "%02x"')
_993._tcp.imap.tachtler.net. IN TLSA 2 1 1 8d02536c887482bc34ff54e41d2ba659bf85b341a0a20afadb5813dcfbcf286d

# printf '_993._tcp.%s. IN TLSA 2 1 1 %s\n' imap.tachtler.net $(openssl x509 -in /tmp/lets-encrypt-r4-cross-signed.pem.txt -noout -pubkey | openssl pkey -pubin -outform DER | openssl dgst -sha256 -binary | hexdump -ve '/1 "%02x"')
_993._tcp.imap.tachtler.net. IN TLSA 2 1 1 e5545e211347241891c554a03934cde9b749664a59d26d615fe58f77990f2d03

und

# printf '_143._tcp.%s. IN TLSA 2 1 1 %s\n' imap.tachtler.net $(openssl x509 -in /tmp/lets-encrypt-r3-cross-signed.pem.txt -noout -pubkey | openssl pkey -pubin -outform DER | openssl dgst -sha256 -binary | hexdump -ve '/1 "%02x"')
_143._tcp.imap.tachtler.net. IN TLSA 2 1 1 8d02536c887482bc34ff54e41d2ba659bf85b341a0a20afadb5813dcfbcf286d

# printf '_143._tcp.%s. IN TLSA 2 1 1 %s\n' imap.tachtler.net $(openssl x509 -in /tmp/lets-encrypt-r4-cross-signed.pem.txt -noout -pubkey | openssl pkey -pubin -outform DER | openssl dgst -sha256 -binary | hexdump -ve '/1 "%02x"')
_143._tcp.imap.tachtler.net. IN TLSA 2 1 1 e5545e211347241891c554a03934cde9b749664a59d26d615fe58f77990f2d03

Parameter für den Aufruf:

1. Die DANE-TA(2) Zertifikats-Nutzung muss entsprechend gesetzt sein, hier verwendet:
   2 1 1
2. Die Domäne muss entsprechend angepasst werden, hier verwendet:
   imap.tachtler.net
3. Der Speicherort und der Dateiname des Zertifikats muss entsprechend angepasst werden. Hier verwendet:
   
   • /tmp/lets-encrypt-r3-cross-signed.pem.txt
   • /tmp/lets-encrypt-r4-cross-signed.pem.txt

Das Ergebnis ist der fertige TLSA-Record:

_993._tcp.imap.tachtler.net. IN TLSA 2 1 1 8d02536c887482bc34ff54e41d2ba659bf85b341a0a20afadb5813dcfbcf286d
_993._tcp.imap.tachtler.net. IN TLSA 2 1 1 e5545e211347241891c554a03934cde9b749664a59d26d615fe58f77990f2d03
_143._tcp.imap.tachtler.net. IN TLSA 2 1 1 8d02536c887482bc34ff54e41d2ba659bf85b341a0a20afadb5813dcfbcf286d
_143._tcp.imap.tachtler.net. IN TLSA 2 1 1 e5545e211347241891c554a03934cde9b749664a59d26d615fe58f77990f2d03

Nachfolgend wird dargestellt, wie die DNS-Records entsprechend im jeweiligen DNS-Server hinterlegt werden können:

_993._tcp.imap.tachtler.net. 600  IN  TLSA  3 1 1 2192f81a9bcc98e86158a261470a83c6cbbd878ebf47993696ab5d30df13789f
_993._tcp.imap.tachtler.net. 600  IN  TLSA  2 1 1 8d02536c887482bc34ff54e41d2ba659bf85b341a0a20afadb5813dcfbcf286d
_993._tcp.imap.tachtler.net. 600  IN  TLSA  2 1 1 e5545e211347241891c554a03934cde9b749664a59d26d615fe58f77990f2d03

und

_143._tcp.imap.tachtler.net. 600  IN  TLSA  3 1 1 2192f81a9bcc98e86158a261470a83c6cbbd878ebf47993696ab5d30df13789f
_143._tcp.imap.tachtler.net. 600  IN  TLSA  2 1 1 8d02536c887482bc34ff54e41d2ba659bf85b341a0a20afadb5813dcfbcf286d
_143._tcp.imap.tachtler.net. 600  IN  TLSA  2 1 1 e5545e211347241891c554a03934cde9b749664a59d26d615fe58f77990f2d03

Ein Abfrage, mittels des Befehls dig, sollte dann wie nachfolgend dargestellt aussehen:

# dig _993._tcp.imap.tachtler.net IN TLSA

; <<>> DiG 9.9.4-RedHat-9.9.4-61.el7 <<>> _993._tcp.mx1.tachtler.net IN TLSA
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 32428
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 1, ADDITIONAL: 2

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;_25._tcp.mx1.tachtler.net.     IN TLSA

;; ANSWER SECTION:
_993._tcp.imap.tachtler.net. 600  IN TLSA 3 1 1 2192F81A9BCC98E86158A261470A83C6CBBD878EBF47993696AB5D30 DF13789F
_993._tcp.imap.tachtler.net. 600  IN TLSA 2 1 1 8D02536V887482BC34ff54E41D2BA659BF85B341A0A20AFADB5813DC FBCF286D
_993._tcp.imap.tachtler.net. 600  IN TLSA 2 1 1 E5545E211347241891C554A03934CDE9B749664A59D26D615FE58F77 990F2D03

;; AUTHORITY SECTION:
tachtler.net.            10800  IN NS   ns1.tachtler.net.

;; ADDITIONAL SECTION:
ns1.tachtler.net.        10800  IN A    192.168.0.20

;; Query time: 0 msec
;; SERVER: 192.168.0.20#53(192.168.0.20)
;; WHEN: Sat Oct 03 16:33:24 CEST 2020
;; MSG SIZE  rcvd: 142

und

Ein Abfrage, mittels des Befehls dig, sollte dann wie nachfolgend dargestellt aussehen:

# dig _143._tcp.imap.tachtler.net IN TLSA

; <<>> DiG 9.9.4-RedHat-9.9.4-61.el7 <<>> _143._tcp.mx1.tachtler.net IN TLSA
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 32428
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 1, ADDITIONAL: 2

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;_25._tcp.mx1.tachtler.net.     IN TLSA

;; ANSWER SECTION:
_143._tcp.imap.tachtler.net. 600  IN TLSA 3 1 1 2192F81A9BCC98E86158A261470A83C6CBBD878EBF47993696AB5D30 DF13789F
_143._tcp.imap.tachtler.net. 600  IN TLSA 2 1 1 8D02536V887482BC34ff54E41D2BA659BF85B341A0A20AFADB5813DC FBCF286D
_146._tcp.imap.tachtler.net. 600  IN TLSA 2 1 1 E5545E211347241891C554A03934CDE9B749664A59D26D615FE58F77 990F2D03

;; AUTHORITY SECTION:
tachtler.net.            10800  IN NS   ns1.tachtler.net.

;; ADDITIONAL SECTION:
ns1.tachtler.net.        10800  IN A    192.168.0.20

;; Query time: 0 msec
;; SERVER: 192.168.0.20#53(192.168.0.20)
;; WHEN: Sat Oct 03 16:33:29 CEST 2020
;; MSG SIZE  rcvd: 142

Zur Überprüfung, ob die TLSA-Records auch korrekt gesetzt sind und auch zum jeweiligen, hier MDA passen, kann nachfolgender externer Link verwendet werden:

• https://www.huque.com/bin/danecheck

* Bildschirmkopie nur unter Verwendung des lets-encrypt-x3-cross-signed.pem.txt Zertifikats

und * Bildschirmkopie nur unter Verwendung des lets-encrypt-x3-cross-signed.pem.txt Zertifikats

Nachfolgend sollen zwei TLSA-Records erstellt werden. Der Grund dafür liegt in der Erneuerung des eigentlichen Let's Encrypt-Zertifikats, welche nach aktuellem Stand nur Zertifikate für 90 Tage ausstellt. Dies macht es erforderlich, auch den TLSA-Record alle 90 Tage zu erneuern.

Damit nun, wenn einmal die Erstellung eines neuen Zertifikats nicht rechtzeitig erfolgt, eine Art „Fallback“-Szenario existiert, soll auch ein TLSA-Record für das Root-Zertifikat der Let's Encrypt CA zusätzlich erstellt werden.

Durch die Erstellung eines TLSA-Records für das Root-Zertifikat der Let's Encrypt CA ist dies eben das „Fallback“-Szenario. Das bedeutet, dass so lange bis das eigentliche Let's Encrypt-Zertifikat erneuert wurde, weiterhin der TLSA-Record der Let's Encrypt-CA (Root-Zertifikat) gültig ist und zur Validierung verwendet werden kann.

WICHTIG - Sollte sich jedoch das Let's Encrypt-Root-Zertifikat „Let’s Encrypt Authority X3“ Zertifikat einmal ändern, muss auch dieser TLSA-Record erneuert werden!

Nachfolgend soll auf Basis des TLSAGEN-Script der [*] sys4 AG der FINGERPRINT des eigentlichen Let's Encrypt-Zertifikats erstellt werden.

Dazu soll der FINGERPRINT des eigentlichen Let's Encrypt-Zertifikats, welches hier im Verzeichnis

• /opt/dehydrated-master/certs/tachtler.net/

liegt, verwendet werden.

Nachfolgender Aufruf des einzeiligen Befehls sollte nachfolgende Ausgabe erzeugen:

# printf '_443._tcp.%s. IN TLSA 1 1 1 %s\n' tachtler.net $(openssl x509 -in /opt/dehydrated-master/certs/tachtler.net/cert.pem -noout -pubkey | openssl pkey -pubin -outform DER | openssl dgst -sha256 -binary | hexdump -ve '/1 "%02x"')
_443._tcp.tachtler.net. IN TLSA 1 1 1 adea18bbacb8a8f1370659bd3cc0a3a209bc27bfef82942c3ade758622ca0a5f

Parameter für den Aufruf:

1. Die PKIX-EE: Zertifikats-Nutzung muss entsprechend gesetzt sein, hier verwendet:
   1 1 1
2. Die Domäne muss entsprechend angepasst werden, hier verwendet:
   tachtler.net
3. Der Speicherort und der Dateiname des Zertifikats muss entsprechend angepasst werden. hier verwendet:
   /opt/dehydrated-master/certs/tachtler.net/cert.pem

Das Ergebnis ist der fertige TLSA-Record:

_443._tcp.tachtler.net. IN TLSA 1 1 1 adea18bbacb8a8f1370659bd3cc0a3a209bc27bfef82942c3ade758622ca0a5f

Bevor mit der Erstellung des TLSA-Records aus dem Let's Encrypt-Root-Zertifikat der Let's Encrypt-CA begonnen werden soll, muss dieses erst einmal heruntergeladen werden, was mit nachfolgendem Befehl durchgeführt werden kann:

HINWEIS - Nachfolgende Links/URLs sind zum Zeitpunkt der Erstellung dieses Eintrags aktuell gewesen:

• https://letsencrypt.org/certificates/

bis 06.10.2021

• https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem.txt (RSA)
• https://letsencrypt.org/certs/lets-encrypt-x4-cross-signed.pem.txt (RSA)

ab 30.09.2020

• https://letsencrypt.org/certs/lets-encrypt-r3-cross-signed.pem.txt (RSA)
• https://letsencrypt.org/certs/lets-encrypt-r4-cross-signed.pem.txt (RSA)
• https://letsencrypt.org/certs/lets-encrypt-e1.pem (ECDSA)
• https://letsencrypt.org/certs/lets-encrypt-e2.pem (ECDSA)

* Danke für den Hinweis an Björn Jacke

# wget -P /tmp https://letsencrypt.org/certs/lets-encrypt-r3-cross-signed.pem.txt
--2020-10-03 16:31:13--  https://letsencrypt.org/certs/lets-encrypt-r3-cross-signed.pem.txt
Resolving letsencrypt.org (letsencrypt.org)... 68.183.215.91, 157.230.103.136, 2a03:b0c0:3:e0::27e:2001, ...
Connecting to letsencrypt.org (letsencrypt.org)|68.183.215.91|:443... connected.
HTTP request sent, awaiting response... 200 OK
Length: 1541 (1,5K) [text/plain]
Saving to: ‘/tmp/lets-encrypt-r3-cross-signed.pem.txt’

lets-encrypt-r3-cro 100%[===================>]   1,50K  --.-KB/s    in 0s      

2020-10-03 16:31:14 (206 MB/s) - ‘/tmp/lets-encrypt-r3-cross-signed.pem.txt’ saved [1541/1541]

# wget -P /tmp https://letsencrypt.org/certs/lets-encrypt-r4-cross-signed.pem.txt
--2020-10-03 17:20:14--  https://letsencrypt.org/certs/lets-encrypt-r4-cross-signed.pem.txt
Resolving letsencrypt.org (letsencrypt.org)... 167.99.137.12, 134.209.226.211, 2a03:b0c0:3:d0::d19:7001, ...
Connecting to letsencrypt.org (letsencrypt.org)|167.99.137.12|:443... connected.
HTTP request sent, awaiting response... 200 OK
Length: 1541 (1,5K) [text/plain]
Saving to: ‘/tmp/lets-encrypt-r4-cross-signed.pem.txt’

lets-encrypt-r4-cro 100%[===================>]   1,50K  --.-KB/s    in 0s      

2020-10-03 17:20:15 (197 MB/s) - ‘/tmp/lets-encrypt-r4-cross-signed.pem.txt’ saved [1541/1541]

# wget -P /tmp https://letsencrypt.org/certs/lets-encrypt-e1.pem
--2020-10-03 17:20:39--  https://letsencrypt.org/certs/lets-encrypt-e1.pem
Resolving letsencrypt.org (letsencrypt.org)... 157.230.103.136, 134.209.226.211, 2a03:b0c0:3:e0::2b7:f001, ...
Connecting to letsencrypt.org (letsencrypt.org)|157.230.103.136|:443... connected.
HTTP request sent, awaiting response... 200 OK
Length: 1021 [application/x-pem-file]
Saving to: ‘/tmp/lets-encrypt-e1.pem’

lets-encrypt-e1.pem 100%[===================>]    1021  --.-KB/s    in 0s      

2020-10-03 17:20:39 (129 MB/s) - ‘/tmp/lets-encrypt-e1.pem’ saved [1021/1021]

# wget -P /tmp https://letsencrypt.org/certs/lets-encrypt-e2.pem
--2020-10-03 17:20:56--  https://letsencrypt.org/certs/lets-encrypt-e2.pem
Resolving letsencrypt.org (letsencrypt.org)... 68.183.215.91, 165.22.65.139, 2a03:b0c0:3:e0::26f:c001, ...
Connecting to letsencrypt.org (letsencrypt.org)|68.183.215.91|:443... connected.
HTTP request sent, awaiting response... 200 OK
Length: 1021 [application/x-pem-file]
Saving to: ‘/tmp/lets-encrypt-e2.pem’

lets-encrypt-e2.pem 100%[===================>]    1021  --.-KB/s    in 0s      

2020-10-03 17:20:57 (149 MB/s) - ‘/tmp/lets-encrypt-e2.pem’ saved [1021/1021]

Ob das Herunterladen auch durchgeführt wurde, kann mit nachfolgendem Befehl überprüft werden:

ls -la /tmp/lets-encrypt*
-rw-rw-r--. 1 klaus klaus 1021  3. Okt 17:20 /tmp/lets-encrypt-e1.pem
-rw-rw-r--. 1 klaus klaus 1021  3. Okt 17:20 /tmp/lets-encrypt-e2.pem
-rw-rw-r--. 1 klaus klaus 1541  3. Okt 17:20 /tmp/lets-encrypt-r3-cross-signed.pem.txt
-rw-rw-r--. 1 klaus klaus 1541  3. Okt 17:20 /tmp/lets-encrypt-r4-cross-signed.pem.txt

Nachfolgend soll auf Basis des TLSAGEN-Script der [*] sys4 AG der FINGERPRINT des Let's Encrypt-Root–Zertifikats aus der Let's Encrypt-CA erstellt werden.

Jetzt kann der FINGERPRINT des Let's Encrypt-Root–Zertifikats aus der Let's Encrypt-CA, welches hier im Verzeichnis

• /tmp/

liegt, verwendet werden.

Nachfolgender Aufruf des einzeiligen Befehls sollte nachfolgende Ausgabe erzeugen:

# printf '_443._tcp.%s. IN TLSA 2 1 1 %s\n' tachtler.net $(openssl x509 -in /tmp/lets-encrypt-r3-cross-signed.pem.txt -noout -pubkey | openssl pkey -pubin -outform DER | openssl dgst -sha256 -binary | hexdump -ve '/1 "%02x"')
_443._tcp.tachtler.net. IN TLSA 2 1 1 8d02536c887482bc34ff54e41d2ba659bf85b341a0a20afadb5813dcfbcf286d

# printf '_443._tcp.%s. IN TLSA 2 1 1 %s\n' tachtler.net $(openssl x509 -in /tmp/lets-encrypt-r4-cross-signed.pem.txt -noout -pubkey | openssl pkey -pubin -outform DER | openssl dgst -sha256 -binary | hexdump -ve '/1 "%02x"')
_443._tcp.tachtler.net. IN TLSA 2 1 1 e5545e211347241891c554a03934cde9b749664a59d26d615fe58f77990f2d03

und

# printf '_443._tcp.%s. IN TLSA 2 1 1 %s\n' www.tachtler.net $(openssl x509 -in /tmp/lets-encrypt-r3-cross-signed.pem.txt -noout -pubkey | openssl pkey -pubin -outform DER | openssl dgst -sha256 -binary | hexdump -ve '/1 "%02x"')
_443._tcp.www.tachtler.net. IN TLSA 2 1 1 8d02536c887482bc34ff54e41d2ba659bf85b341a0a20afadb5813dcfbcf286d

# printf '_443._tcp.%s. IN TLSA 2 1 1 %s\n' www.tachtler.net $(openssl x509 -in /tmp/lets-encrypt-r4-cross-signed.pem.txt -noout -pubkey | openssl pkey -pubin -outform DER | openssl dgst -sha256 -binary | hexdump -ve '/1 "%02x"')
_443._tcp.www.tachtler.net. IN TLSA 2 1 1 e5545e211347241891c554a03934cde9b749664a59d26d615fe58f77990f2d03

Parameter für den Aufruf:

1. Die DANE-TA(2) Zertifikats-Nutzung muss entsprechend gesetzt sein, hier verwendet:
   2 1 1
2. Die Domäne muss entsprechend angepasst werden, hier verwendet:
   tachtler.net und
   
   www.tachtler.net
3. Der Speicherort und der Dateiname des Zertifikats muss entsprechend angepasst werden. Hier verwendet:
   
   • /tmp/lets-encrypt-r3-cross-signed.pem.txt
   • /tmp/lets-encrypt-r4-cross-signed.pem.txt

Das Ergebnis ist der fertige TLSA-Record:

_443._tcp.tachtler.net. IN TLSA 2 1 1 8d02536c887482bc34ff54e41d2ba659bf85b341a0a20afadb5813dcfbcf286d
_443._tcp.tachtler.net. IN TLSA 2 1 1 e5545e211347241891c554a03934cde9b749664a59d26d615fe58f77990f2d03
_443._tcp.www.tachtler.net. IN TLSA 2 1 1 8d02536c887482bc34ff54e41d2ba659bf85b341a0a20afadb5813dcfbcf286d
_443._tcp.www.tachtler.net. IN TLSA 2 1 1 e5545e211347241891c554a03934cde9b749664a59d26d615fe58f77990f2d03

Nachfolgend wird dargestellt, wie die DNS-Records entsprechend im jeweiligen DNS-Server hinterlegt werden können:

_443._tcp.tachtler.net. 600  IN  TLSA  1 1 1 adea18bbacb8a8f1370659bd3cc0a3a209bc27bfef82942c3ade758622ca0a5f
_443._tcp.tachtler.net. 600  IN  TLSA  2 1 1 8d02536c887482bc34ff54e41d2ba659bf85b341a0a20afadb5813dcfbcf286d
_443._tcp.tachtler.net. 600  IN  TLSA  2 1 1 e5545e211347241891c554a03934cde9b749664a59d26d615fe58f77990f2d03
_443._tcp.www.tachtler.net. 600  IN  TLSA  1 1 1 adea18bbacb8a8f1370659bd3cc0a3a209bc27bfef82942c3ade758622ca0a5f
_443._tcp.www.tachtler.net. 600  IN  TLSA  2 1 1 8d02536c887482bc34ff54e41d2ba659bf85b341a0a20afadb5813dcfbcf286d
_443._tcp.www.tachtler.net. 600  IN  TLSA  2 1 1 e5545e211347241891c554a03934cde9b749664a59d26d615fe58f77990f2d03

Ein Abfrage, mittels des Befehls dig, sollte dann wie nachfolgend dargestellt aussehen:

# dig _443._tcp.tachtler.net IN TLSA

; <<>> DiG 9.9.4-RedHat-9.9.4-61.el7_5.1 <<>> _443._tcp.tachtler.net IN TLSA
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 30095
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 1, ADDITIONAL: 2

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;_443._tcp.tachtler.net.     IN  TLSA

;; ANSWER SECTION:
_443._tcp.tachtler.net. 600  IN  TLSA    2 1 1 8D02536V887482BC34ff54E41D2BA659BF85B341A0A20AFADB5813DC FBCF286D
_443._tcp.tachtler.net. 600  IN  TLSA    2 1 1 E5545E211347241891C554A03934CDE9B749664A59D26D615FE58F77 990F2D03
_443._tcp.tachtler.net. 600  IN  TLSA    1 1 1 ADEA18BBACB8A8F1370659BD3CC0A3A209BC27BFEF82942C3ADE7586 22CA0A5F

;; AUTHORITY SECTION:
tachtler.net.         10800  IN   NS      ns1.tachtler.net.

;; ADDITIONAL SECTION:
ns1.tachtler.net.     10800  IN   A       192.168.0.20

;; Query time: 0 msec
;; SERVER: 192.168.0.20#53(192.168.0.20)
;; WHEN: Sat Oct 03 16:34:01 CEST 2020
;; MSG SIZE  rcvd: 184

Zur Überprüfung, ob die TLSA-Records auch korrekt gesetzt sind und auch zum jeweiligen, hier Webserver passen, kann nachfolgender externer Link verwendet werden:

• https://de.ssl-tools.net/webservers/

oder

• https://www.huque.com/bin/danecheck